名前付きリソース方式を使用したビューに対するアクセス権限の付与 - AWS Lake Formation
[データレイクのアクセス許可を付与] ページを開きますプリンシパルを指定するビューを指定します。許可を指定する

名前付きリソース方式を使用したビューに対するアクセス権限の付与

以下は、名前付きリソース方式と、[データレイクのアクセス許可] ページを使用して、ビューに対するアクセス許可を付与する方法を説明する手順です。このページは、以下のセクションに分かれています。

  • [プリンシパル] – アクセス許可の付与先となる IAM ユーザー、ロール、IAM アイデンティティセンターのユーザーとグループ、AWS アカウント、組織、または組織単位。

  • [LF タグまたはカタログリソース] – 付与する許可の対象となるデータベース、テーブル、ビュー、またはリソースリンク。

  • [許可] – 付与されるデータレイク許可。

[データレイクのアクセス許可を付与] ページを開きます

  1. AWS Lake Formation コンソール (https://console.aws.amazon.com/lakeformation/) を開き、データレイク管理者、データベース作成者、またはデータベースに対する [Grantable permissions] (付与可能なアクセス許可) を持っている IAM ユーザーとしてサインインします。

  2. 次のいずれかを行います。

    • ナビゲーションペインの [Permissions] (許可) で [Data lake permissions] (データレイクの許可) を選択します。次に、[Grant] (付与) を選択します。

    • ナビゲーションペインの [データカタログ] で、[ビュー] を選択します。次に、[ビュー] ページでビューを選択し、[アクション] メニューの [許可][付与] を選択します。

    注記

    ビューに対する許可は、リソースリンクを使用して付与できます。これを実行するには、[ビュー] ページでリソースリンクを選択し、[アクション] メニューで [ターゲットに対して付与] を選択します。詳細については、「Lake Formation でのリソースリンクの仕組み」を参照してください。

プリンシパルを指定する

[Principals] (プリンシパル) セクションでプリンシパルタイプを選択してから、アクセス許可の付与先となるプリンシパルを指定します。

IAM ユーザーとロール

[IAM users and roles] (IAM ユーザーおよびロール) リストから、1 人、または複数のユーザーまたはロールを選択します。

IAM アイデンティティセンター

[ユーザーとグループ] リストから、1 人、または複数のユーザーまたはグループを選択します。

SAML ユーザーとグループ

[SAML and Amazon QuickSight users and groups] (SAML および Amazon QuickSight のユーザーとグループ) の場合は、SAML 経由でフェデレートされたユーザーまたはグループに 1 つ、または複数の Amazon リソースネーム (ARN) を入力するか、Amazon QuickSight のユーザーまたはグループに ARN を入力します。各 ARN の後で Enter キーを押します。

ARN の構築方法については、「Lake Formation の grant および revoke AWS CLI コマンド」を参照してください。

注記

Lake Formation の Amazon QuickSight との統合がサポートされるのは、Amazon QuickSight Enterprise Edition のみです。

外部アカウント

AWS アカウント、AWS 組織、または IAM プリンシパルには、IAM ユーザーまたはロールの 1 つ以上の有効な AWS アカウント ID、組織 ID、組織単位 ID、または ARN を入力します。各 ID の後で [Enter] キーを押します。

組織 ID は、最初の「o-」と、その後に続く 10~32 個の小文字または数字で構成されています。

組織単位 ID は「ou-」で始まり、その後に 4~32 個の小文字または数字 (OU が含まれるルートの ID) が続きます。この文字列の後には、2 番目の「-」ダッシュと 8~32 個の追加の小文字または数字が続きます。

以下の資料も参照してください。

ビューを指定します。

[LF タグまたはカタログリソース] セクションで、付与する許可の対象となるビューを 1 つ、または複数選択します。

  1. [Named data catalog resources] (名前付きの Data Catalog リソース) を選択します。

  2. [ビュー] リストから 1 つまたは複数のビューを選択します。1 つ以上のデータベース、テーブル、データフィルターを選択することもできます。

    データベース内の All views にデータレイクのアクセス許可を付与すると、被付与者はデータベース内のすべてのテーブルとビューに対するアクセス許可を持つことになります。

許可を指定する

[Permissions] (許可) セクションで、許可と付与可能な許可を選択します。

[アクセス許可] セクションには、付与するビューのアクセス許可のチェックボックスのグループがあります。チェックボックスには、[選択]、[ドロップ]、[記述]、および [スーパー] があります。そのグループの下には、付与可能な許可のための、同じチェックボックスがある別のグループがあります。

  1. [アクセス許可の表示] で、付与する許可を 1 つ、または複数選択します。

  2. (オプション) [Grantable permissions] (付与可能な許可) で、付与対象者がそれぞれの AWS アカウント 内の他のプリンシパルに付与できる許可を選択します。このオプションは、外部アカウントから IAM プリンシパルにアクセス許可を付与する場合はサポートされません。

  3. [Grant] (付与) を選択します。

以下の資料も参照してください。